移動tpm中部分虛擬的pcr組的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明的示例性和非限制性實(shí)施例大致涉及受信任計(jì)算�、安全和在例如無線通信 系統(tǒng)中的移動受信任模塊的使用����,并且特別地涉及提供用于在受信任執(zhí)行環(huán)境內(nèi)運(yùn)行的受 信任應(yīng)用與TCG/TPM機(jī)制的平臺綁定。
【背景技術(shù)】
[0002] 本節(jié)旨在提供本發(fā)明的背景或上下文��。本文的描述可以包括可以探宄的概念�,但 不一定是那些之前已經(jīng)設(shè)想或者探宄的概念����。因此��,除非在本文中指出����,否則本節(jié)所描述的 不是本申請中的說明書和權(quán)利要求的現(xiàn)有技術(shù)�,并且不能因?yàn)榘ㄔ诒竟?jié)中就被認(rèn)為是現(xiàn) 有技術(shù)。
[0003] 可以在說明書和/或附圖中找到的以下縮寫定義如下:
[0004] AIK 身份證明密鑰
[0005] ASIC專用集成電路
[0006] DRTM 動態(tài)信任根測量("dynamic root of trust measurement")
[0007] HW 硬件
[0008] iTAP內(nèi)部受信任應(yīng)用
[0009] MTM 移動受信任模塊
[0010] OS 操作系統(tǒng)
[0011] PCR 平臺配置寄存器
[0012] RIM 基準(zhǔn)完整性度量
[0013] SML 存儲的測量日志
[0014] Sff 軟件
[0015] TA 受信任應(yīng)用
[0016] TCB 受信任計(jì)算基("trusted computing base")
[0017] TCE 受信任計(jì)算機(jī)環(huán)境
[0018] TCG 受信任計(jì)算組
[0019] TEE 受信任執(zhí)行環(huán)境
[0020] TPM 受信任平臺模塊
[0021] UUID通用唯一標(biāo)識符
[0022] 在由受信任計(jì)算組(TCG)開發(fā)的用于受信任平臺模塊(TPM)和移動受信任模塊 (MTM)的架構(gòu)中����,"(實(shí)體)認(rèn)證"是指向例如內(nèi)部或外部驗(yàn)證器裝置的驗(yàn)證器(通常是遠(yuǎn) 程驗(yàn)證器)說明證人實(shí)體("prover entity",即個人或裝置)所聲明的身份�����。該過程被稱 為"證明"("attestation")���。TPM可以用來確保每個計(jì)算機(jī)將以值得信任的方式報告其 配置參數(shù)���。在TPM中,安全環(huán)境能夠容納若干可以影響測量和相應(yīng)綁定的安全程序����。
【發(fā)明內(nèi)容】
[0023] 在本發(fā)明的示例性方面中��,提供一種方法�,包括:使用裝置的實(shí)體觸發(fā)采用裝置的 受信任的平臺模塊/移動平臺模塊的證明�����;以及響應(yīng)于觸發(fā)����,向?qū)嶓w發(fā)送包括平臺配置寄 存器的值的信息,其中�,平臺配置寄存器依賴于觸發(fā)證明的實(shí)體的測量。
[0024] 在本發(fā)明的另一示例性方面���,提供一種編碼有計(jì)算機(jī)程序指令的非暫時計(jì)算機(jī)可 讀介質(zhì)��,處理器執(zhí)行計(jì)算機(jī)程序指令從而執(zhí)行包括以下項(xiàng)的動作:使用裝置的實(shí)體觸發(fā)采 用裝置的受信任的平臺模塊/移動平臺模塊的證明��;以及響應(yīng)于觸發(fā)��,向?qū)嶓w發(fā)送包括平 臺配置寄存器的值的信息����,其中,平臺配置寄存器依賴于觸發(fā)證明的實(shí)體的測量���。
[0025] 在本發(fā)明的另一示例性方面�,提供一種設(shè)備��,包括:至少一個處理器以及至少一個 包含計(jì)算機(jī)程序代碼的存儲器����,其中,至少一個存儲器和計(jì)算機(jī)程序代碼被配置為采用至 少一個處理器引起設(shè)備至少:使用裝置的實(shí)體觸發(fā)采用裝置的受信任的平臺模塊/移動平 臺模塊的證明���;以及響應(yīng)于觸發(fā),向?qū)嶓w發(fā)送包括平臺配置寄存器的值的信息���,其中�����,平臺 配置寄存器依賴于觸發(fā)證明的實(shí)體的測量�。
[0026] 在本發(fā)明的又一示例性方面�����,提供一種設(shè)備,包括:用于使用裝置的實(shí)體觸發(fā)采用 裝置的受信任的平臺模塊/移動平臺模塊的證明的部件����;以及用于響應(yīng)于觸發(fā)向?qū)嶓w發(fā)送 包括平臺配置寄存器的值的信息的部件,其中����,平臺配置寄存器依賴于觸發(fā)證明的實(shí)體的 測量。
[0027] 根據(jù)以上段落中描述的本發(fā)明的示例性實(shí)施例���,用于觸發(fā)的部件包括包含計(jì)算機(jī) 程序代碼的非暫時存儲器�����,至少一個處理器執(zhí)行計(jì)算機(jī)程序代碼����,以及其中用于發(fā)送的部 件包括到通信網(wǎng)絡(luò)的接口��。
【附圖說明】
[0028] 結(jié)合所附的附圖閱讀時����,本發(fā)明實(shí)施例的前述和其它方面在以下詳細(xì)說明中將更 加明顯,其中:
[0029] 圖IA是基于3GPP TS 36. 300的圖4. 1,并且示出非限制性的和可以在其中實(shí)踐本 發(fā)明的示例性實(shí)施例的E-UTRAN系統(tǒng)的總體架構(gòu)�����;
[0030] 圖IB示出根據(jù)本發(fā)明的示例性實(shí)施例的由TPM PC客戶端測量的TPM程序操作���;
[0031] 圖IC示出根據(jù)本發(fā)明的示例性實(shí)施例的由TPM移動("TPM Mobile")測量的TPM 程序操作����;
[0032] 圖2示出根據(jù)本發(fā)明的示例性實(shí)施例的由TPM移動測量的TPM程序操作��;
[0033] 圖3是示出移動平臺和接入點(diǎn)的簡化框圖��,其中�����,移動平臺包括TPM/PCR和根據(jù)本 發(fā)明的示例性實(shí)施例操作從而如根據(jù)本發(fā)明的示例性實(shí)施例那樣執(zhí)行與虛擬和/或擴(kuò)展 PCR關(guān)聯(lián)的操作的受信任軟件����;以及
[0034] 圖4是根據(jù)本發(fā)明的示例性實(shí)施例的示出方法的操作以及計(jì)算機(jī)程序指令的執(zhí) 行結(jié)果的邏輯流程圖���。
【具體實(shí)施方式】
[0035] 圖IA基于3GPPTS 36. 300的圖4. 1并且示出E-UTRAN系統(tǒng)的總體架構(gòu)�。E-UTRAN 系統(tǒng)包括向UE5和/或UE7提供E-UTRAN用戶平面和控制平面(無線資源控制(RRC))協(xié) 議的終止的網(wǎng)絡(luò)接入節(jié)點(diǎn)或eNB。eNB通過X2接口彼此互連���。eNB還通過Sl接口連接到 演進(jìn)分組核心(EPC)�����,更具體地通過SlMME接口連接到移動性管理實(shí)體(MME)和服務(wù)網(wǎng)關(guān) (S-GW)�����。Sl接口支持MME��、S-GW和eNB之間的多對多關(guān)系�。本文公開的示例性實(shí)施例可以 用非限制性的方式使用從而給與這樣的E-UTRAN系統(tǒng)關(guān)聯(lián)的運(yùn)營方和移動設(shè)備用戶帶來 益處�。
[0036] TPM具有保留用于測量代碼的PCR。本發(fā)明的示例性實(shí)施例涉及受信任計(jì) 算(" Trusted Computing")領(lǐng)域�。最近增加的用于保護(hù)計(jì)算設(shè)備的機(jī)制是最新加 載("late-launch")技術(shù),例如動態(tài)信任根機(jī)制(DRTM�,"dynamic root of trust mechanism")。DRTM是用于操作系統(tǒng)臨時停止并且進(jìn)入安全執(zhí)行環(huán)境的方式��,其中��,或者可 以啟動虛擬機(jī)�����、或者安全核心可以被引導(dǎo)("bootstrap")、或者可以執(zhí)行一些其它代碼�。該 DRTM啟用的安全環(huán)境可以用于例如安全地執(zhí)行憑證。
[0037] 目前��,TPM(v2)具有被保留用于測量代碼的單個PCR(用于DRTM/最新加載)����。PCR 是單個的,原因在于使用最新加載機(jī)制在PC中一次只能啟動一個代碼�。如果另一碼被啟動 (進(jìn)入相同高速緩存區(qū)域),則完成新的測量并且針對舊代碼的任何綁定都會丟失����。在TPM 移動中,已經(jīng)設(shè)計(jì)了相似策略用于在受信任執(zhí)行環(huán)境內(nèi)啟動程序���。然而��,由此只有一個代碼 可以在受信任執(zhí)行環(huán)境中被測量并且綁定到TPM移動功能。因此�,至少上述PCR的嚴(yán)格性 使這些操作變得困難。
[0038] 圖IB和圖IC分別示出TPM PC客戶端100和TPM移動測量的程序130或TPM移動 API 15(LAPI 150可以至少用于TPM2命令子集��、MTM安全引導(dǎo)、iTAP供應(yīng)和/或iTAP使用����。 圖IB示出TPM PC客戶端測量的TPM程序原理操作概覽。如圖IB所示����,受信任計(jì)算機(jī)基TA 102包括受信任應(yīng)用模塊(App) 105、最新加載的代碼模塊110以及操作系統(tǒng)(OS) 115, TA����。 在圖IB中,受信任應(yīng)用(TA 100)的受信任計(jì)算機(jī)基(TCB�,"trusted computer base")執(zhí) 行PCR應(yīng)用(例如最新加載的應(yīng)用)測量。這是通過以下方式完成的:執(zhí)行處理器命令從 而使用處理器的高速緩存125來移動測量代碼(例如對于丨ntel?或AMD?文本和/或 服務(wù)(SVC)應(yīng)用120)����,以用于處理到虛擬的PCR寄存器135。例如��,通過處理器命令將代碼 移動到高速緩存125,并且由TCB使用代碼執(zhí)行最新加載的測量���,并且測量被提供給虛擬的 PCR寄存器135�����。圖IC示出另一 TPM PC客戶端測量的TPM程序原理操作概覽����。
[0039] 根據(jù)本發(fā)明的示例性實(shí)施例,存在至少在虛擬環(huán)境中啟用最新加載的代碼的PCR 測量的方法�����。這將至少允許遺留和受信任軟件的安全后向兼容映射�。本發(fā)明的實(shí)施例允許 平臺建立具有安全狀態(tài)的虛擬環(huán)境以用于將要被測量的最新加載的代碼,和/或允許平臺 在不干擾現(xiàn)存軟件的情況下操作���。
[0040] 圖IC示出另一 TPM PC客戶端100測量的TPM程序原理操作概覽��。如圖IC所示���,